6 min de lectura Por Excello Mail Team

Una Llamada, Una Clave de Acceso Falsa: Cómo O-UNC-066 Secuestra Cuentas de Microsoft 365 Sin Enviar un Solo Correo

Okta Threat Intelligence reveló una operación de vishing, O-UNC-066, que desde abril de 2026 ha llamado a empleados y los ha convencido de registrar una clave de acceso (passkey) de Microsoft Entra controlada por el atacante. No se envía ningún correo, no se hace clic en ningún enlace, y el secuestro de cuenta que sigue hereda todas las verificaciones de autenticación en las que normalmente confiaría DMARC.

Okta Threat Intelligence publicó el 6 de julio de 2026 una investigación sobre un actor de amenazas al que rastrea como O-UNC-066, y la campaña destaca por lo que omite más que por lo que incluye. No hay ningún correo de phishing, ningún dominio suplantado ni ningún archivo adjunto malicioso en ninguna parte de la cadena de ataque inicial. En cambio, la operación se desarrolla enteramente por teléfono, convenciendo a los empleados de registrar una clave de acceso que pertenece al atacante y no a ellos. Para cuando la cuenta queda comprometida, el atacante está operando dentro de una sesión de Microsoft 365 completamente autenticada, y toda la infraestructura de correo que depende de esa sesión, incluido DMARC, no tiene nada inusual que señalar.

Cómo Funciona el Ataque de Vishing

Palo Alto Networks Unit 42 rastrea el mismo grupo de actividad como CL-CRI-1147 y lo describe como afiliado a The Com, el colectivo de ciberdelincuencia difuso en cuya órbita también se encuentran Scattered Spider, ShinyHunters y LAPSUS$. Desde abril de 2026, O-UNC-066 ha registrado dominios que incorporan la palabra “passkey” en su nombre, y luego ha llamado directamente a empleados objetivo, haciéndose pasar por personal de TI o de seguridad y diciéndoles que es necesario registrar una nueva clave de acceso en su cuenta por motivos de seguridad. A la víctima se la guía, en tiempo real, a través de un kit de phishing que imita fielmente el flujo real de registro de claves de acceso de Microsoft Entra. Como el kit está controlado por un operador en lugar de ser totalmente automático, el atacante en la llamada se adapta en tiempo real al método de MFA que realmente usa la cuenta de la víctima, dirigiendo la conversación hasta que la víctima aprueba lo que cree que es una actualización de seguridad rutinaria. Lo que en realidad está aprobando es que el propio dispositivo del atacante se registre como autenticador de confianza en su cuenta.

Quién Está Siendo Objetivo

Okta ha observado a O-UNC-066 apuntando a organizaciones empresariales de los sectores de alimentos y bebidas, tecnología, salud, automotriz, construcción y aviación. El actor de amenazas no es delincuencia oportunista de mercado masivo; es una focalización deliberada y repartida entre sectores, coherente con un grupo que ha hecho su tarea sobre qué organizaciones valen el tiempo que exige una llamada telefónica en vivo. El 31 de mayo de 2026, el grupo puso en marcha un sitio de filtración de datos bajo el nombre Pink, revelando su verdadero objetivo: se trata de una operación de extorsión. Una vez dentro de un tenant de Microsoft 365, Pink se mueve rápido para extraer datos de SharePoint y OneDrive, y luego usa el sitio de filtración para presionar a las víctimas a pagar en lugar de que esos datos se publiquen.

Por Qué DMARC Nunca Ve Esto

Vale la pena precisar por qué esta campaña queda completamente fuera de lo que DMARC, SPF y DKIM fueron diseñados para verificar. Esos tres protocolos existen para comprobar una sola cosa: que un correo que dice provenir de un dominio determinado realmente se originó en infraestructura que el dueño de ese dominio autorizó. Una llamada de vishing no es un correo electrónico. Nunca toca SMTP, nunca lleva un encabezado From, y nunca genera ni una sola señal relevante para DMARC, porque todo el ataque, desde el primer timbre hasta la aprobación de la clave de acceso, ocurre a través de una red telefónica sobre la cual la autenticación de correo no tiene ninguna visibilidad.

Lo que debería preocupar más a los defensores es lo que ocurre después de que termina la llamada. Una vez que el dispositivo del atacante queda registrado como autenticador legítimo, no está falsificando la identidad de la víctima desde afuera; es la identidad de la víctima, en lo que respecta a Microsoft 365, Entra y cualquier servicio dependiente. Si ese atacante decide enviar correo desde el buzón comprometido, ya sean solicitudes internas al estilo BEC o mensajes a socios externos, ese correo llevará una firma DKIM real y válida, se originará desde la infraestructura de envío propia y autorizada de Microsoft, y pasará limpiamente la alineación DMARC en cualquier destinatario que la verifique. La toma de cuenta ocurrió completamente fuera del campo de visión de DMARC, y el fraude que puede seguir está diseñado para pasar todas las verificaciones que DMARC realiza.

Qué Deben Hacer los Defensores

Tratar las solicitudes de registro de claves de acceso o MFA como una acción privilegiada, no rutinaria. Cualquier solicitud para registrar un nuevo autenticador, hecha por teléfono, debe verificarse mediante una devolución de llamada a un número interno conocido o un ticket en el sistema de TI existente, nunca confiando en quien llama en ese momento.

Capacitar a los empleados específicamente sobre vishing, por separado de la capacitación sobre phishing por correo. La mayoría de los programas de concientización de seguridad se construyen casi por completo en torno a detectar correos y enlaces sospechosos. Una persona que llama, suena tranquila, hace referencia a terminología interna real y enmarca la solicitud como higiene de seguridad estándar, es una habilidad diferente que defender, y necesita su propio programa de capacitación.

Monitorear los nuevos registros de autenticadores como una señal de detección, no solo como un evento de aprovisionamiento. Una clave de acceso o método de MFA agregado fuera de una ventana conocida de incorporación o renovación de dispositivo, especialmente uno agregado poco antes de actividad inusual en SharePoint o OneDrive, es exactamente el patrón que produce esta campaña.

Mantener la aplicación de DMARC de todos modos. Bloquear sus dominios en p=reject no hace nada para detener una toma de cuenta basada en vishing, pero sigue cerrando la puerta separada y más simple de que alguien suplante su dominio directamente desde afuera. Ambos controles protegen contra modos de fallo distintos, y ninguno sustituye al otro.

La Conclusión

O-UNC-066 es un recordatorio de que la cuenta detrás de su política DMARC solo es tan confiable como el proceso usado para autenticarse en ella. DMARC protege la afirmación de que un mensaje provino de la infraestructura autorizada de su dominio. No dice nada sobre quién está detrás de esa infraestructura una vez que ha logrado sortear su MFA hablando por teléfono. A medida que los atacantes siguen encontrando canales, como una llamada telefónica, que nunca generan un correo electrónico en primer lugar, la cuenta en sí se convierte en lo que vale la pena vigilar, no solo el correo que eventualmente envía.


Excello Mail le da visibilidad continua sobre sus reportes agregados de DMARC y sus fuentes de envío autorizadas, para que una cuenta comprometida que envía correo inesperado a través de su propia infraestructura sea más fácil de detectar. Regístrese gratis en Excello Mail para mantener esa visibilidad mientras su equipo bloquea la forma en que se registran el MFA y las claves de acceso.